Beispielanalyse der Site-Risiken des Struts2-Frameworks

1. Übersicht

Ein von der Apache Software Foundation (ASF) gesponsertes Open-Source-Projekt ist Struts. Das Projekt begann als Zweig des Jakarta-Projekts und wurde anschließend zu einem Spitzenprojekt der ASF befördert. Durch die Verwendung der Java Servlet/JSP-Technologie wird das Anwendungsframework [Web Framework] basierend auf dem Model-View-Controller [MVC]-Entwurfsmuster von Java EE-Webanwendungen implementiert. Es handelt sich um ein klassisches Produkt im klassischen MVC-Entwurfsmuster.

In den frühen Tagen der Entwicklung von Java EE-Webanwendungen wurde neben der Verwendung der Servlet-Technologie im Allgemeinen eine Mischung aus HTML- und Java-Code im Quellcode von JavaServer Pages (JSP) verwendet. Diese beiden Methoden sind bei der Vermischung von Leistung und Geschäftslogikcode unvermeidlich, was eine enorme Komplexität in der frühen Entwicklung und späteren Wartung mit sich bringt. Um die oben genannten Einschränkungen und Einschränkungen zu beseitigen und den Geschäftslogikcode klar von der Präsentationsschicht zu trennen, übernahm Craig McClanahan im Jahr 2000 das MVC-Entwurfsmuster, um Struts zu entwickeln. Dieses Framework-Produkt galt einst als das umfangreichste und beliebteste JAVA-WEB-Anwendungs-Framework. Struts2 ist ein Webanwendungs-Framework, das auf dem MVC-Entwurfsmuster basiert. Im MVC-Entwurfsmuster dient Struts2 als Controller . (Controller), um die Dateninteraktion zwischen dem Modell und der Ansicht herzustellen. Struts 2 ist das Produkt der nächsten Generation von Struts 2, das die Technologien von Struts 1 und WebWork

2 vereint In den letzten Jahren wurden mehrere Regierungsseiten, Banken, große Internetunternehmen und andere Einheiten betroffen. Im Dezember 2016 wurden beispielsweise Benutzerdaten von JD.com 12G durchgesickert. Telefonnummer, Personalausweis und andere Dimensionen mit zig Millionen Datenelementen. Der Grund liegt in der Sicherheitslücke von Struts 2 im Jahr 2013. Damals waren fast alle Internetunternehmen sowie zahlreiche Banken und Regierungsbehörden im Land betroffen, was zu zahlreichen Datenlecks führte. Jedes Mal, wenn eine Sicherheitslücke in Struts2 auftrat, erhielten auch große Internet-Schwachstellenplattformen mehrere Rückmeldungen, z als:

Das Codeausführungsproblem von Struts2 geht auf das Jahr 2010 zurück. Damals entdeckte Meder Kydyraliev vom Google Security Team, dass die Filterung des Sonderzeichens „#“ durch den Parameter Interceptor durch die Verwendung von unicde umgangen werden konnte Verschlüsselung, was zu Problemen bei der Codeausführung führt.

Wenn wir auf die Geschichte der Schwachstellen von struts2 zurückblicken, stellen wir fest, dass die Entwickler nicht über ein ausgeprägtes Sicherheitsbewusstsein verfügen Obwohl Sicherheitsmaßnahmen ergriffen wurden, waren sie wirkungslos. Zweitens sind wir der Meinung, dass es den offiziellen Reparaturmaßnahmen an Wirksamkeit mangelt und sie scheinbar nur oberflächlich sind, ohne die Ursache des Problems wirklich zu lösen. Darüber hinaus ist der offizielle Offenheitsgeist wirklich schockierend. Sie haben den PoC der Sicherheitslücke sogar direkt auf der offiziellen Website veröffentlicht. Dies gab vielen Menschen die Möglichkeit, die Ausnutzung der Sicherheitslücke weiter zu untersuchen ernster.
2.2. Struts2-Schwachstelleninventur

Die Schwachstelle in Struts2 hat relativ große Auswirkungen und wird häufig ausgenutzt:

CVE-2010-1870XWork ParameterInterceptors-Bypass ermöglicht die Ausführung von OGNL-Anweisungen

CVE-2012-0392struts2 DevMod Remote Command Execution Vulnerability

CVE- 2011- 3923Struts

CVE-2013-1966Struts2

CVE-2013-2251Struts2

Struts2

Struts2

CNVD-2016-02506, CVE-2016-3081, betroffene Versionen von Struts 2.3.20 – StrutsStruts 2.3.28 (außer 2.3.20.3 und 2.3.24.3)

CVE-Nummer: CVE-2016-4438 Struts (S2-037) Sicherheitslücke bei Remotecodeausführung, betroffene Version: Struts 2.3.20 – Struts Struts 2.3.28.1

CVE-2017-5638 Betroffene Versionen: Struts 2.3.5 – Struts 2.3.31

Struts 2.5 – Struts 2.5.10

Weitere Details finden Sie im Schwachstellenverlauf auf der offiziellen Website von struts2 :

https://cwiki.apache.org/confluence/display/WW/Security+Bulletins

3. Verteilung

Angesichts des Struts2-Frameworks mit häufigen Schwachstellen haben wir eine Umfrage zum durchgeführt Verteilung des Struts-Frameworks, das in der Provinzstatistik verwendet wird, durch Fingerabdruckidentifizierung einzelner Standorte auf Präfekturebene wird das Verteilungsdiagramm der Verwendung des Strust2-Frameworks in verschiedenen Städten in der Provinz wie folgt gezeichnet:

Kombination groß Durch Datenanalyse und Schlüsselwortidentifizierung haben wir mithilfe von Strust2 die Standorte von Websites erfasst. Analysieren Sie die Branchensituation und zeichnen Sie das folgende Diagramm:

Spezifische Tabellendaten:

Seriennummer	Branchentyp	Menge	Prozentsatz
1	Regierungsministerium	447	28,29 %
2	Bildungseinrichtungen	155	9,80 %
3	Finanzindustrie	110	6,96 %
4	Versicherungsbranche	28	1,77 %
5	Wertpapierindustrie	14	0,88 %
6	Energiewirtschaft	8	0,50 %
7	Transportindustrie	93	5,88 %
8	Telekommunikationsbetreiber	114	7,21 %
9	Internetunternehmen	398	25,18 %
10	Andere Unternehmen	213	13,48 %

Wie aus dem Bild oben ersichtlich ist, sind die Top Drei (Anmerkung: ohne andere Unternehmen) Regierungsbehörden (mit einem Anteil von 28,29 %), Internetunternehmen (25,18 %) und Bildungseinrichtungen (9,8 %).

Wir haben gesammelt Verwenden Sie die Struts2-Middleware-Site zur Schwachstellenerkennung. Dieses Mal verwenden wir mehrere Schwachstellen mit hohem Risiko, die relativ große Auswirkungen auf das Internet haben, um das Vorhandensein von Schwachstellen zu erkennen (S2-045, S2-037, S2-032, S2). -016) und reparieren und verstärken. Nach dem Testen von 1580 Site-Beispielen wurde festgestellt, dass es immer noch einige Sites gibt, auf denen Struts2-Schwachstellen nicht behoben wurden. Die statistischen Informationen der Sites, auf denen die Schwachstellen entdeckt wurden, sind wie folgt:

Seriennummer	Industrie	Es gibt Schwachstellen Menge
1	Regierungsabteilungen	3
2	Bildungseinrichtungen	2
3	Finanzindustrie	1
4	Internetunternehmen	2
5	Andere	2

Während der Erkennung haben wir stellte fest, dass viele Websites vor Stuts2 alte Schwachstellen hatten wurden nicht repariert, wodurch registrierte Benutzer der Website Hackern in der Stuts2-Sicherheitslücke vor der Tür stehen.

4. Sicherheitsvorschläge

Da die Situation immer komplexer wird, ist Informationssicherheit zu einem Thema geworden, das mehr als nur Technologie betrifft. Die Entwicklung von Wissenschaft und Technologie ist ein zweischneidiges Schwert. Sie kann der Menschheit zugute kommen, aber auch destruktive Auswirkungen haben. Und dieser Punkt lässt sich zusätzlich zur Technologie selbst besser von der Ebene unseres Bewusstseins aus erfassen. Angesichts der enormen Auswirkungen von Schwachstellen reicht es aus, die Informationssicherheitsexperten in der Internetbranche zu alarmieren: ein Weckruf für Informationen Der Sicherheitsdienst sollte ständig klingeln.

1. Wir sollten bei der Entwicklung von Informationssystemen gute Entwicklungsgewohnheiten entwickeln, und aufgrund von Nachlässigkeit während des Entwicklungsprozesses können Logiklücken usw. auch große Sicherheitsrisiken für das System mit sich bringen.

2. Die Website-Daten werden rechtzeitig gesichert. Wenn das System angegriffen wird, kann das angegriffene System so schnell wie möglich wiederhergestellt werden.

3. Installieren Sie Antivirensoftware im Hintergrunddienst, führen Sie regelmäßig Virenscans und andere Sicherheitsüberprüfungen auf dem Server durch.

4. Achten Sie in Echtzeit auf die neuesten Schwachstellen im Internet und beheben Sie die Schwachstellen im Informationssystem zeitnah.

5. Führen Sie regelmäßig Penetrationstests, Schwachstellentests und andere Arbeiten am System durch, um Probleme rechtzeitig zu erkennen und rechtzeitig zu beheben, um zu verhindern, dass Schwachstellen dem Internet ausgesetzt werden.

6. Schalten Sie Systeme, die nicht mehr verwendet werden, rechtzeitig offline. In alten Systemen gibt es im Allgemeinen mehr Sicherheitsprobleme, und eine schlechte Verwaltung kann dazu führen, dass eine große Menge vertraulicher Informationen verloren geht.

Das obige ist der detaillierte Inhalt vonBeispielanalyse der Site-Risiken des Struts2-Frameworks. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!